Der Kontext ist ein Unternehmensnetzwerk, das über RDP eine Verbindung zu virtuellen Maschinen in der Cloud herstellen muss, selbst aber keine RDP-Verbindungen empfängt. Das Unternehmensnetzwerk hat also nur RDP-Clients, aber keine RDP-Server, und bei den VMs in der Cloud ist es umgekehrt: Sie haben nur RDP-Server, die auf Port 3389 laufen.
Sollte die Firewall des Unternehmens in diesem Fall nur ausgehende RDP-Verbindungen zum Port 3389 externer IPs zulassen und alle eingehenden Verbindungen zum Port 3389 lokaler Netzwerk-IPs blockieren? Oder sollte die Firewall (entgegen meinem Verständnis) auch eingehende Verbindungen zum Port 3389 lokaler Netzwerk-IPs zulassen, damit der RDP-Client funktioniert?
Es wäre toll, eine Erklärung zu haben, die die Antwort begründet. Ich glaube, das ist grundlegendes Networking im Zusammenhang mit temporären Ports, aber Klarheit darüber wäre sehr hilfreich.
Antwort1
Nach einigen Kommentaren lässt sich Ihre Frage im Wesentlichen auf Folgendes reduzieren:
Muss ich meinen RDP-Port 3389 auf der Clientseite öffnen, damit RDP zu einem Cloud-Server funktioniert, oder stellt das ein Sicherheitsrisiko dar?
Nein, Sie müssen nie einen clientseitigen Port öffnen.
Mit dem Begriff „Port öffnen“ meine ich die Erstellung einer Portzuordnung auf dem Router und die ausdrückliche Erlaubnis zum Portzugriff in der Firewall, um eingehende Anfragen anzunehmen.
Wenn ein Client in Windows über das RDP-Protokoll eine Verbindung zu einem anderen Computer herstellt, stellt er die Verbindung zum anderen Computer standardmäßig über TCP/IP her und wechselt dann für die eigentliche Verbindung zu einem anderen UDP-Port. Aufgrund dieses Mechanismus müssen Sie Ports nur auf der Serverseite öffnen. Nur wenn ein Client sehr strenge und übertriebene Firewall-Einstellungen hat, muss möglicherweise etwas zugelassen werden, damit die ausgehende Verbindung funktioniert. Ein Client muss jedoch niemals die Routereinstellungen ändern, um eingehenden Datenverkehr über TCP-Port 3389 zuzulassen.
Antwort2
Wie viele Rollen wurden in Ihrer RDS-Bereitstellung installiert oder wird sie einfach für die Remote-Kommunikation von A nach B verwendet?
Im letzteren Fall wurde gemäß dem Artikel „Ändern des Abhörports für Remotedesktop auf Ihrem Computer“ bestätigt, dass der Port (standardmäßig 3389) auf dem Computer geändert wurde, auf den Sie remote zugreifen, was als serverseitig angesehen werden kann.
Zum ersten Punkt finden Sie hier einen Blog, in dem die Portanforderungen aller RDS-Rollen für eine Remote-Verbindung erwähnt werden:
RDS 2012: Welche Ports werden während der Bereitstellung verwendet? https://social.technet.microsoft.com/wiki/contents/articles/16164.rds-2012-which-ports-are-used-during-deployment.aspx